חברת האבטחה iDefense, שמפעילה מאז שנת 2005 תוכנית שנויה במחלוקת במסגרתה היא מעניקה תגמול כספי למי שמאתרים פרצות, תפעיל החל מהשבוע תוכנית חדשה במסגרתה ישולמו עשרת אלפים דולרים לחוקרים שימצאו ב-Windows פרצות שיוגדרו על ידי מיקרוסופט כ"קריטיות".
"אנו רוצים שהחוקרים יהיו נלהבים להשתתף בתוכנית התגמול VCP", אומר אדם גרין, סגן מנהל מעבדות iDefense. "אנו מבקשים לעודד את החוקרים להתמקד בנושאים שחשובים ללקוחותינו. Windows חשובה מאוד משום שאחוז גבוה מבין לקוחותינו משתמשים בה", מסביר גרין.
כדי לזכות בעשרת אלפים הדולרים, נדרשים החוקרים לעמוד בכמה דרישות. תוקף ההצעה יפוג ב-31 במרץ, אומר גרין, והמידע על הפרצות חייב להימסר אך ורק לחברת iDefense. אם מיקרוסופט תגדיר בסופו של דבר את הפרצה כקריטית, הסיווג הגבוה ביותר מבין ארבע דרגות חומרה בסולם של מיקרוסופט, תשלם iDefense את הפרס הכספי. מדובר בסכום הגבוה בהרבה מהסכום שמשולם בדרך כלל במסגרת תוכנית ה-VCP של החברה. iDefense מסרבת לנקוב בסכום הרגיל, אך לדבריה היא שילמה עד כה קרוב ל-40 אלף דולרים בשלושת החודשים בהם פועלת התוכנית.
בכל רבעון מתכוונת iDefense לשנות את התנאים לזכייה בכסף. "לא קבענו עדיין את התנאים לרבעון הבא. יתכן שלא נתמקד בחברה מסוימת אלא בסוג מסוים של פרצות או בקטגוריה של מוצרים, דוגמת דפדפני אינטרנט או תוכנות דואר אלקטרוני", אומר גרין ומוסיף כי "בכל מקרה חשוב לנו לשנות את התנאים כדי ליצור עניין בתוכנית".
iDefense אינה היחידה שמציעה תגמול כספי למי שמאתרים פרצות: ארגון מוזילה, לדוגמה, משלם 500 דולרים למי שמאתרים פרצות בתוכנות הקוד הפתוח של הארגון. אולם, שיטה זו שנויה במחלוקת בעולם האבטחה. "הדבר מטשטש את הקווים", קובע מייק פיוטרבו, סגן נשיא לשיווק בחברת האבטחה eEye. "כך נוצר שוק לסחר בפרצות, וכמעט שמוענקת לגיטימציה לשוק השחור".
גרין לא מסכים, כמובן, עם פיוטרבו. "איננו מקיימים שום מגעים עם אף קבוצה שידוע לנו כי היא עוסקת בפעילות בלתי חוקית. רבים מהפונים אלינו כלל אינם מעוניינים בתגמול הכספי, ולדבריהם הם פנו ישירות לחברות התוכנה אך אלו התעלמו מהם", מסביר גרין. לדבריו, התגמול הכספי מונע נפילה של הפרצות בידיים הלא נכונות. iDefense נעזרת במידע על הפרצות כדי להזהיר את לקוחותיה מפני איומים פוטנציאליים. "באחד המקרים הזהרנו את לקוחותינו 60 יום לפני שפרצה מסוימת פורסמה לציבור הרחב", אומר גרין.
eEye, לעומת זאת, נעזרת במידע שחושפים החוקרים שלה כדי להזהיר את לקוחותיה מפני איומים פוטנציאליים. "אנו גאים במחקר שמתבצע במעבדותינו", אומר פיוטרבו. "הכוונות של iDefense כנראה טובות, אך תשלום תמורת פרצות הוא מדרון חלקלק".


iDefense







http://www.pc.co.il/_DailyMaily/Ite...=&CategoryID=72